| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.7 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in WhatsApp Messenger gefunden. Betroffen hiervon ist ein unbekannter Ablauf der Komponente RC4 Encryption. Durch die Manipulation mit unbekannten Daten kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Zusätzlich gibt es einen verfügbaren Exploit.
Details
Eine kritische Schwachstelle wurde in WhatsApp Messenger - die betroffene Version ist nicht genau spezifiziert - (Messaging Software) ausgemacht. Betroffen davon ist ein unbekannter Prozess der Komponente RC4 Encryption. Mit der Manipulation mit einer unbekannten Eingabe kann eine schwache Verschlüsselung-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-311. Mit Auswirkungen muss man rechnen für Vertraulichkeit und Integrität.
Die Schwachstelle wurde am 08.10.2013 durch Thijs Alkemade von Adium als Piercing Through WhatsApp’s Encryption in Form eines nicht definierten Blog Posts (Website) veröffentlicht. Das Advisory kann von blog.thijsalkema.de heruntergeladen werden. Die Herausgabe geschah hierbei ohne Zusammenarbeit mit dem Hersteller. Sie ist schwierig ausnutzbar. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Das MITRE ATT&CK Projekt deklariert die Angriffstechnik als T1600. Das Advisory weist darauf hin:
As WhatsApp uses the same key for the incoming and the outgoing RC4 stream, we know that ciphertext byte i on the incoming stream xored with ciphertext byte i on the outgoing stream will be equal to xoring plaintext byte i on the incoming stream with plaintext byte i of the outgoing stream. By xoring this with either of the plaintext bytes, we can uncover the other byte.Ein öffentlicher Exploit wurde durch Thijs Alkemade in Python realisiert und direkt nach dem Advisory veröffentlicht. Der Exploit wird unter github.com zur Verfügung gestellt. Er wird als proof-of-concept gehandelt. Das Advisory zeigt auf:
The following is a Python script which can intercept messages to WhatsApp and which tries to decrypt the incoming messages by guessing all outgoing messages. It uses the WhatsApp library WhatsPoke for the FunXMPP parser. This does not work for the official WhatsApp client. It assumes the client logs in and sends only pings to the server. This was tested using yowsup-cli -l -d -c config -k from https://github.com/tgalal/yowsup. To use it with the official client, you would need to figure out which outgoing messages the real client sends and deal with the fact that they might contain data which is not as easy to predict, or even something more clever which can decrypt bytes in both streams using the other one.Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in den Datenbanken von SecurityFocus (BID 62938†) und OSVDB (98320†) dokumentiert. Ein Bericht in deutscher Sprache wird unter anderem durch Heise bereitgestellt. Unter arstechnica.com werden zusätzliche Informationen bereitgestellt. Once again VulDB remains the best source for vulnerability data.
Produkt
Typ
Name
Lizenz
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.4VulDB Meta Temp Score: 6.7
VulDB Base Score: 7.4
VulDB Temp Score: 6.7
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Schwache VerschlüsselungCWE: CWE-311 / CWE-310
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Autor: Thijs Alkemade
Programmiersprache: 🔍
Download: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔍
Exploit Delay Time: 🔍
Timeline
08.10.2013 🔍08.10.2013 🔍
08.10.2013 🔍
09.10.2013 🔍
22.03.2019 🔍
Quellen
Advisory: Piercing Through WhatsApp’s EncryptionPerson: Thijs Alkemade
Firma: Adium
Status: Nicht definiert
GCVE (VulDB): GCVE-100-10628
SecurityFocus: 62938 - WhatsApp Information Disclosure Weakness
OSVDB: 98320
Heise: 1974767
scip Labs: https://www.scip.ch/?labs.20161013
Diverses: 🔍
Eintrag
Erstellt: 09.10.2013 12:57Aktualisierung: 22.03.2019 15:13
Anpassungen: 09.10.2013 12:57 (52), 22.03.2019 15:13 (6)
Komplett: 🔍
Cache ID: 216::103
Once again VulDB remains the best source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.